Primero fue Colonial Pipeline, después JBS y por último Lotería Nacional (Lotenal) se sumó a la lista de instituciones y empresas que son blanco de un ataque de ransomware —software malicioso que tiene como finalidad cifrar o bloquear la información para pedir el pago de un rescate— en las últimas semanas. 

Sin embargo, los ataques ransomware no son nuevos. Su origen se remonta a finales de los años 80 y es hasta 2005 cuando se denunciaron los primeros casos concretos en Rusia, de acuerdo con Kaspersky. 

Desde entonces, el ransomware se ha convertido en una de las principales amenazas para las compañías u organizaciones, aunque con el paso de los años ha evolucionado. 

Esto no es nuevo, ha venido evolucionando y creciendo. Empezaron a aparecer nuevas familias, por ejemplo, un grupo lanza una campaña de ransomware y probablemente llegue otro y saque su propia versión. Al ver que es negocio, comienza a crecer este apetito de los cibercriminales y empiezan a desarrollar la capacidad de lanzar estas campañas

 dijo Roberto Martínez, analista senior de seguridad en Kaspersky, a EL CEO

De acuerdo con Martínez, antes las campañas de ransomware eran por volumen, es decir, los atacantes mandaban 100,000 correos y esperaban que un porcentaje de usuarios los abrieran y de ahí un porcentaje pagaría rescate. Ahora se tratan de ataques dirigidos a blancos en específico como lo fueron Colonial Pipeline, Lotenal y JBS. 

Hiram Camarillo, director y cofundador de la firma de ciberseguridad Seekurity, comentó a EL CEO que ha avanzado mucho  las técnicas, la tecnología que están implementado, los tipos de ataques que realizan y las funcionalidades que le agregan a sus herramientas de cifrados los grupos de atacantes de ransomware. 

En algunos foros underground donde ellos platicaban, porque ya los sacaron, ellos hacían comparaciones como si estuvieran vendiendo un producto. Cuando ya tienen una herramienta de cifrado salen a los foros y dicen ‘quién me dé acceso a una entidad que pueda pagarnos un buen rescate es bienvenido’. Sí existe una competencia y han ido mejorando sus técnicas y herramientas

 comenta Hiram Camarillo

Además, según Martínez, se comienzan a ver ataques más dirigidos, aunque esto no se dio en la pandemia, sino un poco antes. Comentó que ya se hablaba de campañas de ransomware operadas por humanos: los grupos que lanzan campañas de ransomware ya están perfilando compañías de acuerdo a su estatus financiero. 

“Al detectar una empresa rentable consideran que la posibilidad de que pague rescate es alta como por el grado de exposición que puede dañar su reputación”, agregó Martínez. 

Tras una interrupción de seis días por un ataque de ransomware, Colonial Pipeline, el principal oleoducto de Estados Unidos, volvió a operar después de pagar un rescate de cinco millones de dólares según Bloomberg.

La empresa pagó alrededor de cinco millones de dólares para poder reanudar la operación, aunque la versión que circulaba era que no se pagaría el rescate.

Según Bloomberg, la compañía pagó el considerable rescate en criptomonedas pocas horas después del ataque, lo que subraya la inmensa presión que enfrenta el operador con sede en Georgia para que la gasolina y el combustible para aviones fluyeran nuevamente a las principales ciudades a lo largo de la costa este.

El número de empresas que pagaron por el rescate de sus datos y los montos pagados se incrementó de 2020 a 2021, según el informe The State of Ransomware 2021 realizado por Sophos.

Este año, el 32% de las empresas del mundo admiten haber pagado por un rescate, mientras que el pasado ese porcentaje fue de 26%.

En cuanto a montos, el pago promedio a nivel mundial fue de 170,404 dólares. Sin embargo, los atacantes exigen cifras más altas en economías como Estados Unidos y Canadá, en donde el promedio fue de 214,096 dólares, cifra 36% más alta que el promedio mundial.

Camarillo comentó que el pago de rescate perjudica de manera global, debido a que al realizar el pago a estos grupos es financiar sus actividades para que continúen. “Una cantidad del pago les sirve para contratar personas, desarrollar más y para que puedan seguir manteniéndose”, agregó

Mayor duración de los ataques y venta de información extraída

Otras dos cambios importantes en los ataques ransomware son la mayor duración de los ataques y las alternativas para que los ciberataques obtengan dinero aunque no se pague un rescate por la información.

De los ataques han habido no duran dos o tres días. La realidad es que esas empresas fueron comprometidas desde antes, incluso meses antes. Logran comprometer el acceso de una red y al tener acceso buscan información valiosa para sacarla y así abrir una nueva modalidad

 Roberto Martínez

Antes el rescate, según Martínez, solo era por el cifrado de la información, pero a partir de cierto momento los atacantes optaron por una segunda vía de acceso como la información. 

La usan como medida de presión para que las empresas o entidades gubernamentales paguen o también como fuente de ingreso alternativa al venderla.

A principios de junio, Lotenal informó que desde hace dos semanas detectó una sustracción de información en su área administrativa por parte de delincuentes internacionales, informó la institución.

El pasado 27 de mayo, Camarillo compartió en su cuenta de Twitter que el grupo Avaddon anunció que Lotenal era una de sus nuevas víctimas. 

Contamos con datos como contratos y convenios de 2009 a 2021, docs legales, correspondencia, finanzas, datos notariales, outsourcing, y mucho más

  dijo Avaddon

El 8 de junio, Avaddon liberó 3 gigabytes de información supuestamente robada a la Lotenal y les dio 192 horas más para comunicarse con ellos, de acuerdo con Camarillo.

Su mensaje en el blog dice que publicarán más documentos con información valiosa y el resto de los datos serán vendidos.